GDPR Flashcards
När började GDPR gälla inom EU?
Den 25 maj 2018.
Vilken myndighet övervakar att GDPR följs i Sverige?
Integritetsskyddsmyndigheten (IMY)
Vem har huvudansvaret för personuppgifter i ett företag?
VD
har huvudansvaret, men ett företag kan också utse ett personuppgiftsombud som ansvarar för hanteringen av personuppgifter.
Vad kan straffet bli för ett företag som bryter mot GDPR?
Upp till 20 miljoner Euro eller 4 % av den totala koncernomsättningen.
Vad räknas som personuppgifter enligt GDPR?
All information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Vad menas med behandlingen av personuppgifter enligt GDPR?
Behandling innebär åtgärder som insamling, registrering, lagring, bearbetning, radering eller annan hantering av personuppgifter, oavsett om de utförs automatiserat eller inte.
Vad innebär ändamålsbegränsning enligt GDPR?
Personuppgifter får bara användas för det ändamål de samlades in för och inte automatiskt för andra syften.
Vad menas med uppgiftsminimering enligt GDPR?
Endast nödvändig information ska sparas, och företaget ska undvika att samla in mer än vad som behövs.
Hur ska ett företag säkerställa korrekthet enligt GDPR?
Företag ska ha rutiner för att hålla personuppgifterna uppdaterade och kunna visa att informationen är korrekt.
Vad innebär lagringsminimering enligt GDPR?
Personuppgifter ska endast sparas så länge det finns ett behov av dem, och sedan raderas.
Vad är skillnaden mellan konfidentialitet och anonymitet inom GDPR?
Konfidentialitet innebär att uppgifterna skyddas så att inte vem som helst kan komma åt dem. Anonymitet innebär att uppgifterna inte kan kopplas till en viss person.
Vad är en av huvudreglerna för marknadsföring enligt GDPR?
Samtycke och transparens – företaget måste ha kundens samtycke för att samla in och använda personuppgifter och informera om syftet.
Vad har en kund rätt att få veta om sina personuppgifter enligt GDPR?
Syftet med insamlingen, hur uppgifterna används, lagringstid, om uppgifterna delas med någon annan, och hur man tar tillbaka sitt samtycke.
Vilka åtgärder kan IMY vidta om ett företag bryter mot GDPR?
Varning, reprimand, föreläggande, begränsning eller förbud mot behandling av personuppgifter, och sanktionsavgifter.
Vad innebär skyldigheten att informera enligt principen om laglighet, korrekthet och öppenhet?
Företag är skyldiga att informera kunden på ett begripligt sätt om vad deras personuppgifter används till.
Vad är en svårighet med muntligt godkännande enligt GDPR?
Muntligt godkännande är svårt att bevisa, vilket kan skapa en bevisbörda för företaget.
Vad krävs för att ett företag ska få använda en persons bild i marknadsföring?
Personen måste ha gett sitt uttryckliga medgivande.
Vad innebär skyldigheten att dokumentera enligt GDPR?
All behandling av personuppgifter måste beskrivas och dokumenteras, till exempel vid en kundorder eller marknadskampanj.
Hur lång tid har ett företag på sig att lämna ut information om personuppgifter om en kund begär det?
Rimlig tid, vilket kan vara mellan 1 och 4 veckor.
Vad innebär integritet och konfidentialitet enligt GDPR?
Företag måste värna om individens integritet och se till att personuppgifter behandlas konfidentiellt.
Vad innebär rätten att ta tillbaka samtycke enligt GDPR?
Kunden har alltid rätt att ta tillbaka sitt samtycke, och företaget måste då radera uppgifterna.
Vilka steg kan föregå en sanktionsavgift enligt GDPR?
Varning, reprimand, och föreläggande om åtgärder.
Vad innebär rätten att lämna klagomål till en tillsynsmyndighet enligt GDPR?
Kunder har rätt att lämna klagomål till en tillsynsmyndighet, exempelvis IMY, om de anser att deras personuppgifter inte hanteras korrekt.
Vad är ett dataskyddsombud och vilken roll har det?
Ett dataskyddsombud ansvarar för att företagets hantering av personuppgifter följer GDPR. VD
har dock alltid det yttersta ansvaret.
Vad innebär lagringsminimering i praktiken för företag?
Företag får endast behålla personuppgifter så länge de har ett giltigt behov och måste sedan radera dem när behovet upphör.
Vad måste ett företag göra om det misstänker ett dataintrång?
Företaget måste rapportera intrånget omedelbart och se till att skydda uppgifterna
Vad ingår i en GDPR-checklista för företag?
Dokumentera vilka uppgifter som samlas in, utbilda personalen, skaffa samtycke, rensa uppgifter regelbundet, utse ett dataskyddsombud, och skydda uppgifterna.
Vad innebär uppgiftsminimering enligt GDPR?
Att företag endast ska samla in och spara den information som är nödvändig för ändamålet.
Vad måste företag göra för att uppfylla transparenskraven vid marknadsföring?
Företag måste informera om syftet med registreringen och be om kundens samtycke för att spara uppgifter.
Personuppgifter
All slags information som kan identifiera en levande fysisk person, direkt eller indirekt. Exempel är namn, adress, personnummer eller IP-adress.
GDPR (General Data Protection Regulation/Dataskyddsförordningen)
En EU-förordning som började gälla den 25 maj 2018 och reglerar hur personuppgifter får behandlas för att skydda individens integritet.
Integritetsskyddsmyndigheten (IMY)
Den svenska tillsynsmyndigheten som övervakar efterlevnaden av GDPR och kan utföra oplanerade tillsyner.
Personuppgiftsansvarig
Den juridiska person (oftast VD) som har det yttersta ansvaret för att personuppgifter hanteras i enlighet med GDPR.
Personuppgiftsombud:
En anställd som ansvarar för att företagets hantering av personuppgifter följer GDPR. Ett företag kan utse ett personuppgiftsombud, men VD
har det yttersta ansvaret.
Behandling av personuppgifter
Alla åtgärder som rör personuppgifter, såsom insamling, lagring, bearbetning, spridning, radering eller förstöring, oavsett om det sker automatiserat eller inte.
Laglighet, korrekthet och öppenhet:
En princip inom GDPR som kräver att företag hanterar personuppgifter på ett lagligt, korrekt och öppet sätt. Företaget måste informera individen tydligt om hur uppgifterna kommer att användas.
Ändamålsbegränsning
Personuppgifter får endast användas för det syfte som de ursprungligen samlades in för och får inte användas för något annat ändamål utan samtycke.
Uppgiftsminimering:
Företag får endast samla in och lagra den information som är nödvändig för ändamålet.
Lagringsminimering:
Personuppgifter ska endast sparas så länge som det finns ett behov av dem. När behovet upphör, måste uppgifterna raderas.
Korrekthet
Företag måste säkerställa att personuppgifterna är uppdaterade och korrekta. De ska också ha rutiner för att uppdatera och korrigera felaktiga uppgifter.
Konfidentialitet
Företag måste skydda personuppgifter så att endast behöriga personer kan få tillgång till dem. Uppgifterna får inte lämnas ut eller spridas obehörigt.
Anonymitet
Personuppgifter anses vara anonyma om de inte kan kopplas till en identifierbar person.
Samtycke
Personuppgifter får endast behandlas om personen i fråga har lämnat ett aktivt samtycke, till exempel genom att ge tillstånd till insamling och behandling av deras uppgifter
Kundens rättigheter
Enligt GDPR har individen rätt att få information om vilka personuppgifter som samlats in, hur de används, lagringstiden och hur de kan ta tillbaka sitt samtycke. Kunden har också rätt att lämna klagomål till en tillsynsmyndighet.
Sanktionsavgifter
Om ett företag bryter mot GDPR kan de få böter på upp till 20 miljoner euro eller 4 % av företagets globala omsättning, beroende på vilket belopp som är högre.
Dataintrång
Om ett företags system hackas eller på annat sätt oavsiktligt exponerar personuppgifter måste de rapportera intrånget enligt GDPR
krav på integritet och konfidentialitet.
Reprimand
En allvarligare varning som kan utdelas av IMY om ett företag inte följer GDPR, efter att de redan fått en varning
Föreläggande
En formell order som kräver att ett företag vidtar specifika åtgärder för att rätta till brister i sin hantering av personuppgifter enligt GDPR.
